网络安全测试
渗透测试是网络安全测试的重要组成部分。从技术来讲,渗透测试就是模拟黑客的操作,发现被测目标的一些网络安全风险。通俗的讲,就是安全人员有原则有节制得到授权合法的对目标进行非破坏性操作,意图发现目标的安全风险。
渗透测试的出发点是资产所有人关注测试目标的安全,比如操作系统,应用程序,数据库,网络等,但是又不知道测试目标到底存在什么风险,是不是能够被不法分子利用造成业务停车,数据丢失等事故,故请安全人员模拟黑客的操作,比如对测试目标进行漏洞发现,测试口令脆弱性,网络设备的安全配置攻击,最后提供渗透测试报告,描述测试目标的漏洞并提出安全建议。透测试过程是安全专家利用已经掌握的安全漏洞和安全检测工具,模拟黑客的攻击方法在资产所有人的授权和监督下对相关网络进行非破坏性的攻击测试。
渗透测试有什么好处呢?
1) 通过安全专家的操作过程,资产所有者可以直观地感受到网络安全漏洞被利用带来的危害;
2) 对于风险的可能被利用的网络安全漏洞,安全专家提供定量、具体的分析报告;
3) 直观的渗透测试过程和方法,为设计安全解决方案提供事实依据。
渗透测试的原则
1) 规范性原则。渗透测试工作中的过程和文档,严格按照国家规范操作,严格执行项目的跟踪和质量控。
2) 可控性原则。渗透测试过程中使用的工具和方法具有可控性。比如,为了测试勒索病毒在网络中的传播,在测试过程中投放勒索病毒必须限制感染的范围。
3) 最小影响原则。渗透测试实施过程中必须制定充分细致的工作计划,尽可能不对现有网络的运行和业务正常运行造成显著影响,同时必须采取必要控制措置尽可能小地影响系统和网络的正常运行。比如,在测试网络的DDos攻击时,尽可能选择业务不繁忙的阶段进行。
4) 保密性原则。渗透测试过程应该是保密的,公司和甲方签署保密协议,不得利用渗透测试中的任何数据进行其他有损甲方利益的用途;参与项目人员签订个人保密协议;在渗透测试过程中对测试相关的数据执行严格的保密性措施,项目结束后清除有关敏感数据。